Het lijkt rustig met DDoS-aanvallen, maar of het achter de schermen ook echt rustig is?
DDoS-hoogleraar Aiko Pras betwijfelt het. “Het nieuws wordt minder vaak gehaald, dat klopt. Maar het aantal aanvallen dat dagelijks wordt gedaan, blijft ontzettend groot. Er is een soort ruis van continue aanvallen.”
Uit onderzoek van het Nationale Beheersorganisatie Internet Providers (NBIP) over 2018 bleek al dat het aantal DDoS-aanvallen toeneemt, in 2018 waren er bijna veertien procent meer aanvallen dan het jaar ervoor en de aanvallen duurden gemiddeld ook langer. 2018 was het jaar waarin DDoS regelmatig in het nieuws kwam, het jaar startte met grote aanvallen op de Belastingdienst en diverse Nederlandse banken.
Sinds de aanvallen begin 2018 is er veel positiefs gebeurd, vindt Pras. “Het was knullig dat die aanvallen bij de banken succesvol waren. Dat vonden sommige werknemers van die banken ook. Dat zal ons niet ons niet nog eens gebeuren, hebben ze gedacht.” En dat had tot gevolg dat de oproep van Pras en een aantal collega’s is opgepakt. “We riepen op tot communicatie onderling en het delen van data. Als je zo’n oproep doet, hoop je altijd maar dat er iets gebeurt. Het is veel beter opgepakt dan we voor mogelijk hielden en de samenwerking is enorm verbeterd.” Pras ziet dat er nu oefeningen worden gehouden en dat er data wordt uitgewisseld. “We zijn daar in Nederland zo uniek in dat we het op Europees niveau aan het uitrollen zijn.”, maar “Als je het hebt over het bewustzijn van bewindslieden lopen we in Nederland achterop. Ik kijk met enige verbazing naar welke bewindslieden zich in Nederland bezig houden met cybersecurity. Daar is in het buitenland veel meer aandacht voor.”
Het type aanvaller verandert en ook het type aanval. Iets wat NBIP in zijn rapport ook al constateert. Zo kunnen we aanvallen verwachten die stukken sterker zijn dan nu het geval is. Pras denkt dat aanvallen van 100 TB/s mogelijk zijn, onze nationale verdediging ligt op enige TB/s. En daarnaast verschuiven de aanvallen naar de applicatielaag, laag 7 DDoS genoemd. “Daar wordt niet heel veel verkeer naar gestuurd, zodat de capaciteit van de lijn wordt volgeduwd. Er wordt heel specifiek verkeer gestuurd waarmee de apparaten aan de andere kant van de lijn de CPU overbelasten. Je ziet aanvallen op de encryptie, op het opzetten van verbindingen. Een aanvaller verstuurt geen 50 GB, maar maakt duizenden gelijktijdige verbinden. Zo heb je minder verkeer nodig en val je niet de breedte van de pijp aan, maar de verwerkingscapaciteit van de pijp.”
Te afhankelijk van Amerikaanse leveranciers
Nederlandse banken en overheidsorganisaties zijn voor het afweren van DDoS-aanvallen te afhankelijk van Amerikaanse leveranciers. “In Nederland zijn we uiterst naïef”, zegt DDoS-hoogleraar Aiko Pras.
Pras maakt zich vooral zorgen over hoe afhankelijk Nederlandse organisaties zijn van Amerikaanse leveranciers voor hun DDoS-verdediging. Het Centraal Plan Bureau waarschuwde daar eind vorig jaar ook al voor in zijn Risicorapportage Cyberveiligheid. “Een steekproef onder internationale banken doet vermoeden dat één partij sterk dominant is”, schrijft het CPB. De onderzoeker doelen op securitybedrijf Akamai.
Zij vragen zich af of het vanuit maatschappelijk perspectief een grote marktconcentratie gewenst is. “Immers, valt in dit geval Akamai om (door bijvoorbeeld een grote DDoS-aanval), dan heeft dit potentieel een keten effect. Dit hoeft zich niet te beperken tot uitval in de bankensector alleen”, schrijven de onderzoekers.
Pras maakt zich niet zozeer zorgen over het omvallen van Akamai, maar wel over de afhankelijkheid en de privacy. “Een scenario dat ik zie gaat niet alleen over DDoS-verdediging, organisaties zijn namelijk ook voor andere delen van hun infrastructuur afhankelijk van Amerikaanse leveranciers. Stel nu dat de Nederlandse overheid weigert om president Donald Trump te helpen bij de fysieke verdediging. Dan kan de president zeggen: als jullie niet voor onze bescherming zorgen, zorgen wij ook niet voor die van jullie. Dus dan maakt de VS het moeilijker voor Nederland om van die digitale diensten gebruik te maken. Dan sta je als land van de ene op de andere dag onbeschermd.” Het bewustzijn van dat scenario is er in Nederland niet, zegt Pras. “Ik begrijp best dat banken zich daar niet druk over maken. De overheid zou dat wel moeten doen.”
CPB Risicorapportage Cyberveiligheid.
Privacy
Een ander punt van zorg is volgens hem de privacy. Aanvallen komen steeds vaker op de applicatielaag, wat betekent dat de verdediging ook op die laag plaatsvindt. Het is de laag waar de inhoud van de verstuurde pakketjes te vinden is. “Ik ben niet zeker wat de Amerikaanse overheid kan monitoren. Maar ik ben er zeker van dat het meer is dan de gemiddelde Nederlander denkt.” En hij betwijfelt of ze dat na zullen laten bij personen waarvan ze meer willen weten. “Van iemand als Julian Assange bijvoorbeeld zullen ze alles monitoren wat ze te weten kunnen komen, ook het betalingsverkeer.”
Volgens Pras is een nationale DDoS-verdediging daarom niet alleen om economische redenen nodig. “Je moet ook kijken naar de veiligheidsaspecten. Zeker in Nederland zijn we daarin uiterst naïef.” De hoogleraar vindt het goed dat er nu wordt gesproken over de afhankelijkheid van Chinese leveranciers, zoals Huawei. “De Amerikaanse afhankelijkheid is een taboe thema. Nederlandse politici denken dat Amerika dezelfde spelregels hanteert als wij doen, namelijk redelijk overleg en geen inzet van machtsmiddelen. Maar als ik naar Donald Trump kijk, zie ik het omgekeerde.”
En dan kom je volgens Pras op een belangrijk punt van zorg: de privacy. Omdat veel van onze DDoS-verdediging door Amerikaanse leveranciers wordt uitgevoerd, komt de veiligheid van burgers in het geding. “Ik denk dat de Amerikaanse overheid in staat is om elke transactie die je met een betalingsapp doet, te zien. Voor de duidelijkheid: ik denk niet dat een leverancier als Akamai dat doet of zou willen. Maar de Amerikaanse overheid wel, bijvoorbeeld bij bepaalde personen – denk aan een Julian Assange. Daar monitoren ze alles van wat ze te weten kunnen komen, ook betalingsverkeer.” En die afhankelijkheid moet de Nederlandse overheid niet willen, vindt de hoogleraar. Hij pleit voor een meer nationale en Europese verdediging.
Die nationale verdediging kan nu prima de aanvallers aan die de afgelopen jaren voor de meeste overlast zorgden. Dat waren vooral zestienjarige jongens die balorig hun school aanvallen of het achtuurjournaal willen halen. Nu hebben aanvallen steeds vaker een crimineel karakter. “Je ziet steeds vaker dat commerciële partijen elkaar aanvallen rond Kerst of Sinterklaas, zodat de webwinkel wordt platgelegd. Maar ook daarmee kunnen we redelijk overweg. Wat me echt zorgen maakt, zijn de nationale veiligheidsdiensten die om politieke redenen – niet om economische redenen – schade willen aanrichten. Daar zijn we als Nederland niet op voorbereid.”
Bron: Aiko Pras
Reactie plaatsen
Reacties